Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Schwerwiegende Implikationen und Verunsicherung

Lassen wir das mal sacken. Sicherheitsforscher, Gesetzgeber, Strafverfolger und Konzerne sind sich einig: Biometrische Merkmale lassen sich schnell umgehen und sind damit nicht annähernd so sicher wie die alten, umständlichen Passworte, Muster und PINs, werden aber dennoch flächendeckend dafür verwendet. Welche Auswirkungen hat dieser Downgrade an Sicherheit eigentlich auf Haftungs- und Compliancefragen?

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Softwareentwickler*in im Projekt „Aufbau eines Netzwerkes und Services zu Forschungsinformationen (FIS)“ Leuphana Universität Lüneburg, Lüneburg (öffnet im neuen Fenster)
IT Architect (m/w/d) SoftProject GmbH, Ettlingen (öffnet im neuen Fenster)
Fachinformatikerin / Fachinformatiker (m/w/d) im Bereich Produktionssteuerung Zweckverband Kommunales Rechenzentrum Niederrhein (KRZN), Kamp-Lintfort (öffnet im neuen Fenster)
bAV-Experte für Speziallösungen (m/w/d) ERGO Group AG', Düsseldorf (öffnet im neuen Fenster)
IT-Servicemanager/-in CRM für Key Account Management (m/w/d) Berufsgenossenschaft Holz und Metall, Hannover,Hamburg,Mainz (öffnet im neuen Fenster)
Informatiker / Bioinformatiker / Wirtschaftsinformatiker als Business Analyst (m/w/d) DKMS Group gGmbH, Köln,Tübingen,Dresden (öffnet im neuen Fenster)
Software Solution Design Engineer (m/w/d) SoftProject GmbH, Ettlingen (öffnet im neuen Fenster)
Data Analyst / Data Analystin Grundsteuerstatistik, E-Bilanz und kleinräumige Auswertungen (m/w/d) Bayerisches Landesamt für Statistik, Schweinfurt (öffnet im neuen Fenster)

"Biometrie ist nach diesen Urteilen nicht nur technisch, sondern auch rechtlich der systematisch schwächere Schutzmechanismus," erklärt Gunnar Porada, Sicherheitsforscher und Gründer der Schweizer Sicherheitsfirma Innosec. Bekannt wurde er, weil er vor Jahrzehnten den Banken nachwies, dass die Algorithmen für die EC-Karte unsicher waren. Millionen Kunden erhielten wenig später neue Karten(öffnet im neuen Fenster) .

Einige Jahre später demonstrierte er auch dem Linux-Magazin, wie leicht SMS-TANs gehackt werden können und warum sie keine gute Idee fürs Homebanking seien, obwohl die Banken diese Verfahren noch anboten(öffnet im neuen Fenster) .

Porada sieht in dem aktuellen Gerichtsurteil einen großen Widerspruch und eine Gefahr: "Das, was eigentlich als Sicherheitsfeature gedacht war, kann plötzlich zur Umgehung persönlicher Privatsphäre führen." Besonders wenn biometrische Merkmale in Ausweisdokumenten eingesetzt werden, könne das das Vertrauen in den Staat massiv untergraben: "Einerseits verlangt der Staat verpflichtend die Abgabe biometrischer Daten (der Fingerabdruck im Ausweis ist seit 2021 Pflicht), andererseits schafft er gleichzeitig die Rechtsgrundlage, diese Daten auch zur Zwangsöffnung von Smartphones zu verwenden. Das bedeutet faktisch: Bürger müssen ihre biometrischen Schlüssel abgeben, und Behörden dürfen diese Schlüssel auch gegen sie einsetzen. Damit wird Biometrie von einem persönlichen Schutzmerkmal zum behördlichen Zugriffsinstrument."

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die Implikationen der aktuellen Debatte reichen aber noch viel weiter: Viele Sicherheitsmechanismen an Haustüren, Autos, E-Bikes nutzen die bequemen Mechanismen des Fingerabdrucks oder ähnlicher Verfahren. Porada ist gespannt, was da noch alles kommt, beispielsweise was die Versicherungen dazu sagen werden. Im Falle der SMS-TAN ergriffen die Banken erst die Initiative, als die Fehler massenhaft ausgenutzt wurden – wirtschaftlich und aus Sicht der Risikobewertung eine nachvollziehbare Konzernpolitik.

Biometrische Merkmale sind keine Geheimnisse

Auch der bekannte Security-Experte Bruce Schneier hat immer wieder zum Thema Biometrie Stellung genommen. Sein wohl wichtigster Beitrag stammt bereits aus dem Jahr 1999, seine Meinung dazu musste er nicht ändern. "Man muss sich immer wieder ins Gedächtnis rufen, dass biometrische Merkmale keine Geheimnisse sind," schreibt Schneier(öffnet im neuen Fenster) .

Eigentlich sollte das einer der zentralen und ohne jede IT-Kenntnisse verständlichen Punkte sein: Gesichter, Fingerabdrücke, Tippverhalten, der persönliche Gang – all diese Merkmale sind nicht geheim und werden von uns stets und überall hinterlassen. Jeder Dritte kann sie einfach auslesen oder abgreifen. Würde man so ein Passwort verwenden?

Es kommt aber noch schlimmer: Sind die Merkmale einmal kompromittiert, stehen dem Anwender keine Alternativen mehr zur Verfügung. Man hat (im besten Fall) nur zehn Finger, zwei Iris, ein Gesicht, ein Tippverhalten oder einen spezifischen Gang. Wenn Technokraten sie als Geheimnisträger einsetzen möchten, scheitert Biometrie bereits an dieser systemimmanenten und unveränderlichen Voraussetzung – völlig unabhängig von der eingesetzten spezifischen Technologie. Das sagt auch das Bundesamt für Sicherheit in der Informationstechnologie BSI klar in seinen Biometrie-FAQ(öffnet im neuen Fenster) :

"Das körperliche Charakteristikum kann im Allgemeinen nicht geheim gehalten werden. Im Gegenteil liegen viele der für eine biometrische Erkennung verwendeten körperlichen Merkmale, wie Gesicht und Finger, offen. (...) Zudem können einmal gestohlene Daten über biometrische Eigenschaften dazu führen, dass dieses Merkmal nicht mehr zur Sicherung von Diensten eingesetzt werden sollte. Ist der Fingerabdruck einmal bekannt, können Kriminelle diesen bei jedem Dienst missbrauchen, bei dem der Abdruck hinterlegt ist – der Abdruck lässt sich nicht wechseln oder ändern. Passwörter können dagegen beliebig oft gewechselt und zurückgesetzt werden. Wenn Ihre biometrischen Daten gestohlen werden oder verloren gehen, könnten sie dauerhaft gefährdet und nicht mehr sicher nutzbar sein."

Zur Startseite 121 Kommentare

Relevante Themen

PolitikSecurityDatensicherheitFingerabdrucksensorPasswortPolizeiGesichtserkennungBiometrie